https://opennet.me/openforum/vsluhforumID3/101231.html В развиваемой компанией ARM свободной крипографической библиотеке PolarSSL (http://www.opennet.ru/opennews/art.shtml?num=31442) выявлена (https://polarssl.org/tech-updates/security-advisories/polarssl-security-advisory-2014-04) критическая уязвимость (http://www.certifiedsecure.com/polarssl-advisory/) (CVE-2015-1182), которая потенциально может привести к выполнению кода злоумышленника при обработке средствами библиотеки специально оформленных последовательностей ASN.1 из сертификатов X.509. Проблема может проявляться в серверных и клиентских приложениях, использующих PolarSSL при организации шифрованного канала связи c подконтрольным злоумышленнику клиентом или сервером. <br><br><br>Среди программ, поддерживающих сборку с PolarSSL, можно отметить (https://polarssl.org/kb/generic/projects-using-polarssl) OpenVPN-NL (https://openvpn.fox-it.com/) (уязвим и требует обновления, так как использует (https://openvpn.fox-it.com/background.html) по умолчанию PolarSSL), OpenVPN, cURL, FreeRDP, PowerDNS. Проблема проявляется в https://opennet.me/openforum/vsluhforumID3/101231.html#57 Wed, 21 Jan 2015 18:33:07 GMT &gt;&gt; потому что расписание выпусков патчей важнее всего.<br>&gt; У них вроде раз в месяц, так что они минимум 2 раза <br>&gt; проипли срок.<br><br>так это&#8230; список фиксов для следующих патчей давно составлен, туда не помещается. невозможно за одно и то же время сделать больше.<br><br>тут, на самом деле, ситуация вполне понятная. сделать багфикс &#8212; это ж не просто код вкоммитить. это делать кучу сборок, заново тестировать кучу сценариев, всё вот это. расписание составлено, люди заняты. тупо их срывать с текущей работы &#8212; это куча проблем. а релизнуть быстропатч к исходникам как временную меру &#8212; по очевидным причинам невозможно.<br><br>&gt;&gt; а идиoтские писки по поводу &#171;нашли баг &#8212; молчите!&#187; продолжают умилять.<br>&gt; Осталось еще набраться наглости и попросить хаксоров иметь юзерье по расписанию, громко <br>&gt; анонсируя "кто не спрятался^W пропатчился - я не виноват!"<br><br>в общем-то, обида чувака вполне понятна: &#171;ну, вы же понимаете, что такое багфиксы в большой конторе! играете нечестно, не по правилам!& https://opennet.me/openforum/vsluhforumID3/101231.html#56 Wed, 21 Jan 2015 17:26:18 GMT &gt; потому что расписание выпусков патчей важнее всего.<br><br>У них вроде раз в месяц, так что они минимум 2 раза проипли срок.<br><br>&gt; а идиoтские писки по поводу &#171;нашли баг &#8212; молчите!&#187; продолжают умилять. <br><br>Осталось еще набраться наглости и попросить хаксоров иметь юзерье по расписанию, громко анонсируя "кто не спрятался^W пропатчился - я не виноват!"<br> https://opennet.me/openforum/vsluhforumID3/101231.html#55 Wed, 21 Jan 2015 17:24:13 GMT а ещё в ядре баги есть. в том числе и ведущие к. ужас просто. твой выбор &#8212; счёты и голуби. хотя, конечно, даже там есть баги, ведущие к&#8230;<br> https://opennet.me/openforum/vsluhforumID3/101231.html#54 Wed, 21 Jan 2015 17:23:43 GMT &gt; сертифицированное гoвно магически превращается в конфетку!<br><br>Ну надо же как-то оправдывать волокиту, бюрократию и имитацию бурной деятельности.<br> https://opennet.me/openforum/vsluhforumID3/101231.html#53 Wed, 21 Jan 2015 17:23:16 GMT &gt; Окей, ты хочешь сказать что авторы polarssl ламеры и делают глупые ошибки, <br>&gt; показывающие что они нифига не смыслят в безопасности. Я правильно тебя <br>&gt; понял?<br><br>это вот ты сейчас с кем говорил вообще?<br> https://opennet.me/openforum/vsluhforumID3/101231.html#52 Wed, 21 Jan 2015 17:22:26 GMT потому что расписание выпусков патчей важнее всего.<br><br>а идиотские писки по поводу &#171;нашли баг &#8212; молчите!&#187; продолжают умилять. конечно, молчите: на рынке 0-day'ев он давно продаётся, не ломайте бизнес, не позволяйте людям даже узнать, откуда может быть следующая атака! а то ведь они и подготовиться могут.<br> https://opennet.me/openforum/vsluhforumID3/101231.html#51 Wed, 21 Jan 2015 17:21:32 GMT Окей, ты хочешь сказать что авторы polarssl ламеры и делают глупые ошибки, показывающие что они нифига не смыслят в безопасности. Я правильно тебя понял?<br><br>Так, стоп, а нафига нужна криптографическая либа от ламеров которые нифига не смыслят в безопасности и раздают либу с крутыми ляпами?<br> https://opennet.me/openforum/vsluhforumID3/101231.html#50 Wed, 21 Jan 2015 17:18:58 GMT &gt; угу. время &#8212; великий волшебник. заменяет все науки. что было хорошо для <br>&gt; наших дедов &#8212; хорошо и для нас!<br><br>Да вот странно - летают на самолетах зачем-то. Ездят на поездах. Автомобилей понаштамповали. Чем этим лохам лошади так не нравились? Проверенные же временем.<br> https://opennet.me/openforum/vsluhforumID3/101231.html#49 Wed, 21 Jan 2015 17:16:22 GMT Ну ок, так и запишем - те кто пользуются PolarSSL - ССЗБ. Правда это касается и остальных реализаций SSL/TLS. Потому что в таком монстрятнике просто не может не быть багов. В том числе и багов ведущих к проблемам безопасности.<br>